Recentemente, tivemos um problema em que um usuário trouxe seu laptop de casa e o conectou à rede, tentando obter acesso à Internet. Eu sei que em um nível de porta eu poderia configurar restrições de MAC, mas eu estava me perguntando se havia uma maneira que eu poderia impedir que uma máquina não compatível conseguisse acesso à nossa rede no futuro? Atualmente, executamos todas as máquinas cliente do Windows 7 e eu gostaria de simplesmente dizer "se não o Windows 7, sem acesso", mas não tenho certeza exatamente como fazer isso. Estamos executando um ambiente AD, 2008 e acima do Windows Servers.
Pensei que talvez o NAP funcionasse e parece ter uma configuração para o WinXP (e um para o Win7), mas permite-me proibir / permitir o acesso com base em se estiver atualizado, se a proteção contra vírus estiver ativada, etc, não se for o próprio Windows XP. Existe uma maneira que eu poderia desativar qualquer coisa, mas o que eu especificar de obter acesso à rede como este?
Agradecemos antecipadamente por sua ajuda!
O crédito deve ir para aqueles que o mencionaram acima, mas o 802.1X é a maneira de controlar esse tipo de comportamento. Há muito mais envolvimento do que tenho experiência direta, mas eu uso um servidor RADIUS em casa para autenticação na minha rede sem fio. Com o pfsense, foi fácil configurar.
Autenticação MAC é o tipo mais fraco de autenticação, endereços MAC podem ser falsificados em segundos garantindo acesso total à rede, tudo que o usuário tem a fazer é descobrir o endereço MAC do seu laptop e falsificá-lo em seu laptop pessoal e ele tem acesso total à rede corporativa.
Você deve usar o 802.1x para parar isso, onde eu trabalho nós o implantamos com switches Cisco e servidor Windows NPS, somente dispositivos que fazem parte do domínio obtêm acesso à rede. Nós também usamos certificados com ele.
No entanto, bloquear uma porta pelos endereços MAC ao lado do 802.1x também é uma boa idéia para impedir o ataque de inundação do MAC. Nós bloqueamos portas para 8 endereços MAC para reduzir o risco de ataque de inundação MAC.
Primeiramente, certifique-se de desativar todas as portas de rede que não precisam ser usadas.
E agora, em outra alternativa que não funcionará para você, mas para as pessoas pensarem a respeito. A impressão digital do sistema operacional passivo pode funcionar para alguém que queira uma solução para esse problema, mas talvez queira bloquear usuários que não sejam do Windows ou ter uma LAN de computadores MAC e que deseje bloquear qualquer outra coisa.
Vou lançá-lo lá como uma possível solução que pode ser adequada para algumas situações. Eu ainda acho que algo como 802.1X é uma opção mais robusta.
Não funciona porque, até onde posso dizer, você não pode filtrar com osf com o Windows: xp ou algo assim ... ou pode? Eu não posso dizer sem tentar.
Mas suponha que você queira apenas permitir máquinas com Windows.
1) Crie uma ponte linux. link
2) Carregue o módulo passivo de impressão digital e use regras como:
iptables -I INPUT -p tcp -m physdev --physdev-in eth0 -m osf --genre Windows --ttl 0 -j ACCEPT
Leia mais: Como bloquear / permitir pacotes enviados por Sistema Operacional específico com o iptables?
Esta máquina de bridge é inserida entre sua rede e o roteador. Se você já tem um roteador Linux na rede que você usa como seu firewall / gateway, você pode simplesmente adicionar as regras do módulo osf ao iptables.
Infelizmente, como a impressão digital do sistema operacional é baseada em como um sistema operacional define o TTL inicial, o tamanho da janela e alguns outros bits e peças nos pacotes TCP SYN, ele só funciona com o TCP. Além disso, pode ser derrotado. Então não é totalmente seguro.Eu configuraria a filtragem de MAC, já que esta é a rota mais segura, e você pode ter certeza de que está capturando tudo. Por que você não quer configurar um filtro MAC?
Tags security active-directory nps